RSA enVision

Эффективный инструмент для работы с журналами событий.

На сегодня подавляющее большинство ИТ-инфраструктур (по некоторым оценкам, до 90%) строится на платформах Microsoft Windows. Как известно, операционные системы Windows обладают развитыми функциями в плане регистрации системных событий: в операционной системе ведется сразу несколько журналов событий («Безопасность», «Система», «Приложения» и пр.). Служба Eventlog активирована по умолчанию, а работа с журналами событий осуществляется с использованием многофункциональной оснастки EventViewer. На практике часто возникает потребность в анализе данных из журналов событий Windows, например с целью определения источника текущих неполадок либо для предотвращения возможных проблем. Проводить такой анализ вручную (последовательно работать с каждым журналом событий на каждом компьютере) чрезвычайно трудно. А в ситуациях, когда необходимо проанализировать журналы событий десятков или сотен компьютеров, определить частоту возникновения событий, взаимосвязь с другими событиями, ручной анализ становится абсолютно неэффективным. Опытные администраторы решают эту задачу путем разработки и использования сложных сценариев VBS-и PowerShell, например так, как описано в статье Брэндона Джоунса «Сценарий для чтения журналов событий» (опубликованной в «Windows IT Рго» № 3 за 2011 год). Пример кода, приведенный в статье Джоунса, демонстрирует, насколько трудоемкой является такая автоматизация работы с «логами».

Кроме того, это решение обладает низкой гибкостью, так как поиск возможен только по идентификатору события Event ID за определенный период времени, а аналитические возможности здесь практически отсутствуют.

И наконец, описанный инструментарий подлежит коррекции для каждой версии операционной системе (Б.Джоунс: «Сценарий в данном виде работает на компьютерах XP, но его можно приспособить и для запуска с другими версиями Windows»).

Существует еще один важный момент, на который стоит обратить внимание, —ограничение размера журнала, которое может привести к потере важных событий (максимальный размер журнала может достигать 4 Гбайт, но на практике этот параметр составляет не более 1 Гбайт). В этом случае использование даже отлаженных инструментов анализа не даст результатов. Таким образом, возможность обращения к записям, например, полугодовой давности становится все менее вероятной с регистрацией каждого нового события.

Чтобы обеспечить возможность глубокого ретроспективного анализа, администраторы практикуют использование программного обеспечения типа EventLogtoSysLog, которое необходимо установить на все компьютеры, а кроме того —организовать выделенный SysLog-сервер, осуществляющий централизованный сбор данных.

А можно ли решить задачу анализа журналов событий Windows более рационально? Безусловно, да. Эффективными и одновременно простыми инструментами для решения данных задач без использования программных «агентов» является Security Information and Event Management (SIEM), в частности - платформа RSA enVision.

Так, для анализа нескольких десятков или даже сотен журналов событий в RSA enVision достаточно выполнить несколько несложных действий:

  • указать источники журналов событий;
  • выбрать интересующие события (ID, период времени и/или другие параметры);
  • получить результат —табличный отчет, гистограмму, круговую диаграмму и т. п.

При этом централизованное хранение событий в специализированной базе данных гарантирует формирование «слепка» информационной среды и возвращение к любому моменту жизненного цикла ИТ-инфраструктуры за длительный период времени.

Таким образом, в распоряжении ИТ-специалиста имеется мощный и гибкий инструмент, позволяющий:

  • без привлечения программных «агентов» собрать Windows-события с десятков, сотен, тысяч систем;
  • обеспечить хранение журналов событий в неизменном виде в течение длительного периода;
  • выполнять аналитические действия любой сложности;
  • одновременно работать с операционной системой разных версий;
  • автоматизировать генерацию периодических отчетов;
  • существенно разгрузить администраторов корпоративных сетей Windows.

Данный инструмент может использоваться для решения, с одной стороны, простых повседневных задач; например, если на компьютере периодически возникают проблемы при подключении к почтовому серверу Microsoft Exchange 2010, RSA enVision сигнализирует о сотнях попыток неудачных подключений в течение нескольких минут, после чего соединение устанавливается. Причина: пользователь после смены пароля доступа к почтовому серверу не произвел его обновление в веббраузере и спустя несколько минут после неудачного подключения использовал другой клиент для получения доступа. С другой стороны, инструмент применим и для задач более сложных. Например, группа компьютеров, обращаясь к внутреннему сервису, «зависает». Причина: некорректная настройка сервера DNS, приводящая к передаче рекурсивного запроса DNS наружу и возврату его на тот же порт, что создает цикл.

В заключение приведем несколько практических задач, которые можно решить подобным способом:

  • определить количество (а при необходимости и источники) неудачных попыток локальной/сетевой регистрации в операционной системе;
  • вывести все ошибки операционной системы или конкретного приложения;
  • получить информацию о попытках очистки журналов событий;
  • получить общую статистику событий на компьютерах по типам (количество и распределение по времени);
  • выявить активность сотрудников на компьютерах в нерабочее время;
  • получить информацию о печати документов (по сотрудникам);
  • получить информацию об атаках, зарегистрированных брандмауэром Windows;
  • получить данные по изменению полномочий пользователей и другим операциям администрирования учетных записей;
  • выявить попытки несанкционированного использования чужих учетных записей.

 

Популярные шаблоны